Si prega di consigliare cosa leggere. Parte 1

È sempre un piacere condividere informazioni utili con la community. Abbiamo chiesto ai nostri dipendenti di consigliare risorse che loro stessi visitano per tenersi aggiornati sugli eventi nel mondo della sicurezza delle informazioni. La selezione si è rivelata ampia, quindi ho dovuto dividerla in due parti. Prima parte.

Twitter

• Infosec. Gruppo NCC è un blog tecnico di una grande azienda di sicurezza informatica che pubblica regolarmente le sue ricerche, strumenti/plugin per Burp.
• Gynvael Ventofreddo - ricercatore di sicurezza, fondatore del principale team ctf Dragon Sector.
• Byte nullo - tweet su hacking e hardware.
• HackSmith - Sviluppatore e ricercatore SDR nel campo della sicurezza RF e IoT, tweet/retweet, incluso l'hacking hardware.
• DirectoryRanger - sulla sicurezza di Active Directory e Windows.
• Binni Shah - scrive principalmente di hardware, ritwitta post su una varietà di argomenti sulla sicurezza delle informazioni.

Telegram

• Il team [MIS]ter e [MIS]sis — IB attraverso gli occhi di RedTeam. Tanto materiale di qualità sugli attacchi ad Active Directory.
• Virgolette — un tipico canale sui web bug per gli appassionati dei web bug. Molto spesso, l'accento è posto sull'analisi di come sfruttare le vulnerabilità tipiche e sui consigli sull'uso efficace del software, funzionalità meno conosciute ma utili.
• Cyberfuck — un canale sulla tecnologia e la sicurezza delle informazioni.
• Fughe di informazioni - sintesi delle fughe di dati.
• Amministratore con lettera — un canale sull'amministrazione del sistema. Non esattamente la sicurezza delle informazioni, ma utile.
• linkmeup è un canale podcast di linkmeup dove gli appassionati discutono di reti, tecnologie e sicurezza informatica dal 2011. Ti consigliamo anche di dare un'occhiata сайт.
• Life-Hack [Life-Hack]/Hacking — post su hacking e protezione in un linguaggio chiaro (il migliore per i principianti).
• r0 Equipaggio (canale) - una raccolta di materiali utili principalmente su RE, exploit dev e analisi di malware.

Repository Github

• kabachook/k8s-security - note sulla sicurezza di Kubernetes.
• Alexis Ahmed/hacker101 — una serie di lezioni video sulla sicurezza web, analisi delle vulnerabilità, attività pratiche.
• Hack con Github/Hacking fantastico - una raccolta di archivi su argomenti per hacker, pentesters e ricercatori di sicurezza. Dobbiamo andare più in profondità.
• EdOverflow/bugbounty-cheatsheet
• infosecn1nja/AD-Attack-Defense

Blog

• Project Zero - di solito non hanno bisogno di presentazioni, ma se non ne hai sentito parlare: si tratta di un team di fantastici specialisti che cercano vulnerabilità a livello di "jailbreak remoto per i migliori iOS senza interazione dell'utente", e non per il gusto di denaro, ma per il bene della sicurezza di tutti.
• Blog di PortSwigger — blog degli sviluppatori di Burp Suite, che è diventato di fatto lo standard per la sicurezza web. Dedicato, ovviamente, alla sicurezza delle applicazioni web.
• Sicurezza del firmware
• Protezione di Active Directory
• Sicurezza delle informazioni di Black Hills — hanno scritto molte utilità/script che sono molto utili per l'auditing; oltre al blog, condividono attivamente le loro conoscenze nei loro podcast.
• Sjoerd Langkemper. Sicurezza delle applicazioni web
• Terra di Pentester — ogni settimana qui viene pubblicato un riassunto con video e articoli sul pentesting.

Youtube

blogger

• GynvaelEN - resoconti video, anche del noto Gynvael Coldwind del team di sicurezza di Google e fondatore del principale team CTF Dragon Sector, in cui racconta molte cose interessanti sul reverse engineering, sulla programmazione, sulla risoluzione di compiti CTF e sull'auditing del codice .
• LiveOverflow - un canale con contenuti di altissima qualità - in un linguaggio semplice su metodi di sfruttamento interessanti. Sono presenti anche analisi di report interessanti su BugBounty.
• STOK — un canale con un'enfasi su BugBounty, preziosi consigli e interviste con i migliori cacciatori di bug della piattaforma HackerOne.
• IppSec - sorpasso di auto su Hack the box.
• Accademia CQURE è una società specializzata nel controllo dell'infrastruttura Windows. Molti video utili su vari aspetti dei sistemi Windows.

Conferenze

• ZeroNights
• Black Hat
• DEFCON
• Festa della Sicurezza
• RUXCON
• OffensiveCon
• RICOGNIZIONE
• SyScan
• TROOPERScon
• Shakacon LLC
• Infiltrarsi
• Conferenza DEFCON
• CCC
• Conferenza sulla sicurezza Hack In The Box
• Microsoft BlueHat
• H2HC
• Conferenza sulla sicurezza di EkoParty
• BugCrowd
• OwaspGlobal

Conferenze accademiche

• Simposio NDSS
• Simposio IEEE sulla sicurezza e la privacy
• FOSDEM
• USENIX
• Conferenza Enigma USENIX
• Simposio internazionale sulla ricerca su attacchi, intrusioni e difese (RAID)

Convegni industriali

• La Linux Foundation
• LLVM

Sistematizzazione della conoscenza (SoK)

Questo tipo di lavoro accademico può essere molto utile all'inizio dell'immersione in un nuovo argomento o quando si organizzano le informazioni. Trovare questo tipo di lavoro non è difficile, ecco alcuni esempi:

• SoK: (Stato di) L'arte della guerra: tecniche offensive nell'analisi binaria
• SoK: Guerra eterna nella memoria
• SoK: Rendi di nuovo eccezionale JIT-Spray
• SoK: consenso nell'era delle blockchain
• SoK: Luce splendente sulle pile di ombre
• SoK: Sanificazione per la Sicurezza
• SoK: Diversità del software automatizzato
• SoK: una revisione sistematica del rilevamento del phishing Web basato su software
• SoK: Applicazione dell'apprendimento automatico alla sicurezza: un sondaggio
• SoK: sicurezza Single Sign-On

Fonte originale

Ci auguriamo che tu abbia trovato qualcosa di nuovo per te stesso. Nella parte successiva ti diremo cosa leggere se sei interessato, ad esempio, al problema della soddisfacibilità delle formule nelle teorie e nell'apprendimento automatico nel campo della sicurezza, e ti diremo anche quali resoconti sul jailbreak iOS essere utile.

Saremo lieti se condividi le tue scoperte o il blog del tuo autore nei commenti.

Fonte: habr.com